Il malware noto come LummaC2 (o Lumma Stealer) ha introdotto una nuova tecnica anti-sandbox che sfrutta il principio matematico della trigonometria per eludere il rilevamento e sottrarre informazioni preziose dagli host infetti.
Nuova tecnica di evasione
Questa metodologia è progettata per “ritardare la detonazione del campione fino a quando non viene rilevata attività umana del mouse”, ha spiegato Alberto Marín, ricercatore di sicurezza presso Outpost24, in un rapporto tecnico condiviso con The Hacker News. Scritto in linguaggio di programmazione C, LummaC2 è stato venduto nei forum sotterranei dal dicembre 2022 e ha ricevuto aggiornamenti iterativi che lo rendono più difficile da analizzare attraverso l’appiattimento del flusso di controllo e persino gli permettono di distribuire payload aggiuntivi.
Versione attuale e criptaggio
La versione attuale di LummaC2 (v4.0) richiede ai suoi clienti di utilizzare un criptatore come meccanismo di occultamento aggiuntivo, per prevenire la diffusione della sua forma grezza. Un altro aggiornamento degno di nota è l’affidamento sulla trigonometria per rilevare il comportamento umano nell’endpoint infiltrato.
Tecnica di rilevamento del comportamento umano
“Questa tecnica prende in considerazione diverse posizioni del cursore in un breve intervallo per rilevare l’attività umana, prevenendo efficacemente la detonazione nella maggior parte dei sistemi di analisi che non emulano realisticamente i movimenti del mouse”, ha detto Marín. Per fare ciò, estrae la posizione attuale del cursore per cinque volte dopo un intervallo di attesa predefinito di 50 millisecondi e verifica se ogni posizione catturata è diversa dalla precedente. Il processo viene ripetuto indefinitamente fino a quando tutte le posizioni consecutive del cursore differiscono.
Una volta che tutte le cinque posizioni del cursore (P0, P1, P2, P3 e P4) soddisfano i requisiti, LummaC2 le tratta come vettori euclidei e calcola l’angolo formato tra due vettori consecutivi (P01-P12, P12-P23 e P23-P34). “Se tutti gli angoli calcolati sono inferiori a 45º, allora LummaC2 v4.0 considera di aver rilevato un comportamento ‘umano’ del mouse e prosegue con la sua esecuzione”, ha affermato Marín.
Contesto più ampio
Lo sviluppo di LummaC2 si inserisce nel contesto dell’emergenza di nuove varianti di malware per il furto di informazioni e trojan di accesso remoto, progettati per estrarre un’ampia gamma di dati sensibili dai sistemi compromessi. Il modello di malware-as-a-service (MaaS) rimane il metodo preferito per gli attori delle minacce emergenti per condurre attacchi cyber complessi e lucrativi.
Il furto di informazioni è un focus significativo nel regno del MaaS e rappresenta una minaccia considerevole che può portare a ingenti perdite finanziarie sia per le organizzazioni che per gli individui.